Je selbstbewußter der Admin Dir ein von ihm selbst geschriebenes, grausam komplexes, aber “großteils selbsterklärendes” Shellscript vor die Nase hält, und je öfter es darin von grep durch sed nach awk über tr und wieder nach vorne durch grep geht, desto größer ist die Wahrscheinlichkeit, daß er es gerade mal so notdürftig in tage- oder wochenlanger Arbeit geschafft hat, diesen Schrott ansatzweise rund zum laufen zu bringen.
Locker bleiben und nicht von solchen “Experten” beunruhigen lassen. 
Sich darüber zu beschweren, daß an Ostern jedes Jahr anderes Wetter ist, ist in etwa so logisch, wie sich darüber zu beschweren, daß Weihnachten immer zur selben Jahreszeit stattfindet.
Und außerdem:
Wenn Steinmeier SPD-Kanzlerkandidat wird, werd’ ich Schwarz.
Am Rande der dritten Reparatur meines Macbook hatte ich ein halbes Stündchen Zeit, um ausgiebig ein Macbook Air zu befummeln. Ohne Beaufsichtigung durch Verkäufer, ohne Publikumsandrang, und ohne Diebstahlsicherung, so daß ich es vollkommen ohne Eile und ohne Bedenken von allen Seiten betrachten konnte. Es ist einfach schön, in einen Laden zu kommen, wo man nicht wie ein flüchtiger Verbrecher behandelt wird.
Besonders gut gefallen hat mir der Dämmerungssensor in Kombination mit der beleuchteten Tastatur. Daß ich diese Tastatur für die beste Notebooktastatur aller Zeiten halte, ist ja nicht weiter verwunderlich, denn das geht wohl jedem so, der sich am Macbook davon überzeugen durfte. Knackig finde ich auch die Art, wie die Klappe mit den Ports betätigt wird.
Trotz allem positiven, bleibe ich bei meiner ersten Einschätzung, daß das Gerät einfach zu voluminös ist. Der breite Rand um den Bildschirm stört mich schon beim Macbook. Bei einem Gerät, das mit aller Macht das schlankste sein will, geht er wirklich garnicht. Da, wo der Rechner so extrem abgeplattet ist, hätte besser der Footprint reduziert werden sollen, statt den “flachsten” Rechner zu konstruieren.
Ein Manko an der Konstruktion ist mir aufgefallen, und das ist die das Display umlaufende Gummilippe. Diese ist gegenüber der Grifföffnung an der Vorderkante nicht ausgespart und wird beim Aufklappen an dieser Stelle zwangsläufig nahezu immer mit den Fingern berührt. Meine Erfahrungen mit solchen Materialien sind nicht die besten und ich bin mal gespannt, wie diese Stelle bei den Air-Besitzern in 2 Jahren aussieht.
Da sich ein Trend abzeichnet, daß ich ab Herbst viel weniger unterwegs in irgendwelchen Hotels, sondern mehr zuhause sein werde, habe ich dem Verkäufer mal Löcher über den Mac Pro in den Bauch gefragt. Mit großzügig dimensionierten Rechnern habe ich nämlich recht gute Erfahrungen gemacht. Was am Anfang richtig schnell ist, brummt unbemerkt vor sich hin und wird vor Ablauf von 5 Jahren schonmal überhaupt nicht durch Performancedefizite auffallen und mit etwas Glück nach 10 Jahren noch immer sein Geld verdienen.
Mal schauen, was bis Ende des Jahres so geht. Finanziell, meine ich.
Heise berichtet über eine Konferenz auf der testweise IPv4 abgeschaltet wurde, um das Netz mal mit den Augen eines reines IPv6-Nutzers zu sehen:
Besonders bemerkenswert war nach Ansicht von Dittler letztlich, wie rasch ein Anbieter wie Google ein IPv6-Angebot einrichten kann. Die Trefferlisten erwiesen sich aber als wenig hilfreich, weil kaum eine der gelisteten Seiten über reines IPv6 erreichbar war.
1997, vor 11 Jahren, kam ich als blutjunger IT-Contractor (damals noch für “Windows”, obwohl ich bereits zwei Linux-Server am Start hatte) zu einem Kunden, wo ein euphorischer junger Mann rumlief, der grade seine daumendicke Diplomarbeit über IPv6 fertiggeschrieben hatte und jedem davon erzählte, wie toll das alles bald werden würde. “Toll”, dachte ich in einem sehr frühen Anflug von Altersstarrsinn, “jetzt hast Du dieses TCP/IP grade mal so verstanden und darfst demnächst schon wieder umlernen.”
11 Jahre ist das her, und vom Umlernen keine Spur. Ich bin mal gespannt, wie lange es noch dauern wird, bis ich wirklich mal einen nicht einmal praxisbezogenen, sondern zumindest halbwegs nutzbaren Anreiz finde, mit IPv6 zu spielen. Solange man, um mit IPv6 zu experimentieren, irgendwelche Tunnels über IPv4 aufsetzen muß, kommt das ganze jedenfalls als Thema daher, das nur für Hardcore-Netzwerker zu Studienzwecken interessant zu sein scheint.
Im Heise-Artikel geht’s weiter:
Gerade große Portale oder Social Networking Seiten seien aufgefordert, den Schritt zu IPv6 jetzt vorzubereiten.
Glückliche Menschen, die Hand in Hand über Blumenwiesen tanzen? So ein Schwachsinn, Mensch. Ficken, Ficken, Ficken! Wenn irgendjemand etwas tun könnte, um IPv6 nach vorn zu helfen, dann wären das natürlich Pornographen und File-Sharer. Wenn sich herumspräche, daß irgendwo ein Schatten-P2P-Netzwerk voller Schweinkram existiert, das von Netzwerk-Gurus mit IPv6 auf fetten Internetleitungen betrieben wird, würde das innerhalb weniger Monate den Durchbruch für IPv6 bringen.
Ich installiere grade Incredimail in einer VMware, weil ein Kunde mit diesem Kackteil keine Mails per TLS oder SSL über meinen etwas in die Jahre gekommenen Postfix-Mailer versenden kann. Einfach nur zum Kotzen. Aber was tut man nicht für die totale Kompatibilität. :-/
In der vergangenen Woche schrieb ich über eine kleine Anfrage der FDP an die Bundesregierung zum Thema Sperrungsverfügungen.
Ich habe – wohlgemerkt nicht als einziger – bei der FDP-Fraktion nachgefragt und dabei von den netten Damen erfahren, daß Punkt 10 der kleinen Anfrage durch den Artikel “EU will Jugendschutz und Meinungsfreiheit im Netz regeln” von der Newsseite gulli.com(!) motiviert ist, in dem bereits im vergangenen November eine EU-Richtline über die
Schaffung eines “…Standardisierungsinstruments, welches auf EU-Ebene den Schutz von Kindern vor schädlichen Inhalten gewährleistet, wenn diese neue Medien, Dienstleistungen und das Internet nutzen, bei gleichzeitiger Gewährung der Meinungs- und Redefreiheit sowie dem freien Fluss der Informationen”.
angekündigt wurde. Diese solle angeblich sehr bald in Kraft treten.
Ab dem Gulli-Artikel wird die Lage für politische Laien wie mich etwas unübersichtlich. Die Spur führt über einen EDRI(?)-Bericht und endet bei einer “Arbeitsgruppe für Menschenrechte in der Informationsgesellschaft” im Europarat, die das Thema auf ihrer Agenda hat. Auskünfte von Sachverständigen wurden von dieser Arbeitsgruppe auch schon eingeholt.
Selbst wenn die orwellsche Neusprech-Verquickung von “Filtermaßnahmen” und “Informationsfreiheit” unverändert bemerkenswert ist, ist der Europarat kein Organ der Europäischen Union. Somit kann auch nicht die Rede davon sein, daß eine derartige EU-Richtlinie in Vorbereitung ist. Die Bundesregierung hat also in ihrer Antwort auf die kleine Anfrage recht, wenn sie schreibt, ihr sei keine derartige in Vorbereitung befindliche EU-Richtlinie bekannt. (Die insgesamt recht ernüchternde Antwort wurde noch nicht veröffentlicht, Link wird nachgereicht.)
Herzlichen Glückwunsch somit an den Autor von gulli.com, der durch die ausführliche aber nicht ganz fehlerfreie Interpretation seiner Quelle ein lehrbuchmäßiges Gerücht in die Welt gesetzt hat, das es seinerseits bis in die Amtsstuben der Bundesregierung geschafft hat. 
Wie wir sehen, sind die Quellen, die Politiker für ihre Meinungsbildung nutzen, nicht immer besser als das, was unsereiner so für bare Münze nimmt. Für mich ist das eine durchaus lehr- und hilfreiche Erfahrung.
Being an expert for all sorts of application layer encryption, I currently work on a call for tenders for a client who wants to implement centralized e-mail encryption for his 30k-something users.
While the X.509 standard for e-mail, S/MIME, can safely be considered a generally available standard nowadays, it’s pretty scary to see that certain vendors of encryption software for the enterprise have a very sketchy understanding of what PGP encrypted communication looks like in the real world. They seem to believe that PGP isn’t actually that relevant, while on the other hand, real people and real corporations have been using PGP to protect their (trade) secrets long before those PGP vendors had even been founded.
There are currently three major methods for PGP encryption of e-mail in the wild. One of these is an actual internet standard, one is a customary procedure, and the other, oh well…:
1) PGP/MIME
PGP/MIME is the only official standard for PGP e-mail encryption. It is defined in RFC 3156 (“MIME Security with OpenPGP”). Put simply, PGP/MIME takes the entire MIME encoded message and wraps another MIME layer around it. This “outer” layer contains either the encrypted message or it contains the original MIME encoded message plus an attachment containing the detached signature. PGP/MIME is widely supported by products that integrate e-mail and PGP encryption.
2) “PGP-Inline”
PGP-Inline is a retroactively applied name for the legacy method for PGP encryption that was used in the early days of PGP, before the introduction of PGP/MIME. It does not constitute an actual standard. Instead, there only is a certain behaviour that users have learned to expect from PGP-Inline messages.
A PGP-Inline message contains the message text in ASCII-armored form, either encrypted or clearsigned. It is evident that MIME multipart/alternative e-mails that contain the message text in both text and HTML form can not be handled very well in such an environment.
Attachments are encrypted each on their own. The file example.pdf is attached as example.pdf.asc, example.pdf.gpg or example.pdf.pgp, depending on implementation and user preference. As far as I can tell, there is no accepted standard for signed attachments in PGP-Inline. A well-behaved implementation of PGP-Inline can be observed in the Enigmail plugin for the Thunderbird MUA when PGP/MIME is turned off. This implementation uses detached signatures for signing attachments.
Vendors usually refer to RFC 4880 (“OpenPGP Message Format”) when being asked about PGP-Inline. While having a certain relevance, this RFC does not mention anything related to E-Mail. It is therefore in fact unsuitable as a guideline for the proper behaviour of PGP-Inline. Don’t get fooled by RFC mumbo-jumbo.
3) “Partitioned PGP”
Partitioned PGP can be described as “PGP-Inline with cloaked filenames”. Long after PGP/MIME had been widely accepted as a standard, the PGP corporation introduced their “Universal” product line. PGP Universal extends the commonpractice PGP-Inline method by concealing the filename. Our file example.pdf from the earlier example gets renamed to Attachment.pgp. The original filename is hidden inside the ciphertext in the “Literal Data Packet (Tag 11)” as described by RFC 4880.
Partitioned PGP carries over the original MIME Content-Type tags of Attachments by storing them inside proprietary MIME headers:
X-Content-PGP-Universal-Saved-Content-Transfer-Encoding: quoted-printable
X-Content-PGP-Universal-Saved-Content-Type: text/html; charset="iso-8859-1"
To my best of knowledge, these extensions are not publicly documented. During my research I have only come across an archived e-mail from a developer at the PGP corporation that outlines the technique. This particular e-mail is my only point of reference when it comes to the technical details of partitioned PGP.
Restoration of these headers and of the original filename has been implemented by all relevant commercial vendors, most likely through a small amount of reverse engineering. The same applies for the HTML part of multipart/alternative messages, which PGP Universal attaches as PGPexch.htm. A skilled developer can easily understand the HTML part’s encoding by closely examining encrypted messages from PGP Universal.
Conclusion
While PGP/MIME will usually be supported by most communication partners, PGP-Inline still has lots of relevance as the lowest common denominator. As such, it should be as interoperable as possible, despite the lack of a hard and fast specification. Users that have no integration of PGP into their e-mail software will resort to exactly those techniques that are usually considered “PGP-Inline”: Encrypt the message, and encrypt each attachment on its own. This is where we all came from, before PGP/MIME.
The PGP corporation claim that their “Partitioned PGP” is identical with PGP-Inline. This is technically true only if a PGP-Inline implementation’s default mode of operation is to extract the original filename. If this is not the case, “Partitioned PGP” yields decrypted files that are named Attachment, Attachment1 and so on, which offer no clue about the original file name. While experienced UNIX users can easily determine the file type using the file command, typical end users have no proper means of handling the situation.
The PGP corporation may have their reasons for extending PGP-Inline in such a way. Cloaking the file name is fairly reasonable indeed. However, PGP/MIME has always been doing exactly the same by wrapping the MIME encoded message with its attachments into an opaque PGP layer. This was standardized and available long before the PGP corporation had even been founded.
I find it not very hard to believe that the manoeuver of extending PGP-Inline in a proprietary way is an attempt to create market share by forcing a de-facto standard into existence. With a big name such as “PGP”, everything seems possible. Also, if the PGP corporation really were that serious about leakage of potential confidential information, they should have taken care of the message headers as well. Instead, they chose to create an amount of incompatibility, that is covered by some RFC and appears to be subtle, but in fact irritates users and support staff on the receiving side in the worst possible way.
There is no doubt that the PGP corporation employs honest cryptography specialists that are a lot smarter than I will ever be, no matter how much I learn. Their marketing and product management departments, however, have created an enormous amount of distrust in me. On one hand, they’ll promise you heaven and earth with their big name and their global presence. On the other hand, they seem to be completely disconnected from the PGP community and appear to not have an idea of how cryptography has always been used in real, day-to-day production environments. Which is a real pity.
Das Schicksal hat meine Ehefrau mit meiner großen Sandkastenliebe, S., zusammengeführt. Dabei sind schlimme unverheilte Wunden zutage getreten. Insbesondere wurde darüber gesprochen, ich hätte S. von einem Tag auf den anderen komplett links liegenlassen, als ich meinen ersten Rechner bekommen habe.
Du liebe Güte, das ist jetzt 25 Jahre her! Der Nerd ist eben in einem drin. Je früher er sich ausleben kann, desto besser.
Die FDP-Fraktion im Bundestag hat am 26.02.2008 eine kleine Anfrage (PDF) an die Bundesregierung gestellt, hinsichtlich der Rechtslage bei der Sperrung von Internetseiten. Dabei fällt mir vor allem der folgende Passus auf:
Ist der Bundesregierung bekannt, welche Ziele mit Sperrungsverfügungen verfolgt werden, und beabsichtigt die Bundesregierung, das Recht der Sperrungsverfügungen bundesgesetzlich zu regeln?
[...]
Hält die Bundesregierung die geplante EU-Richtlinie zur „Nutzung und Kontrolle von Filtermaßnahmen, um die volle Wahrnehmung von Rede- und Informationsfreiheit zu gewährleisten“ für geeignet, das angestrebte Ziel zu erreichen?
Holy shit! “Filtermaßnahmen” und “Informationsfreiheit” in einem Satz? Was für ein Orwellsches Sprachgebilde hat die EU denn da in der Pipeline? Da muß ich in den nächsten Tagen nochmal nach Details suchen. (Update: Hier gehts weiter.)
